Режимы работы леса и домена

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Режимы работы определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. Однако режимы работы не влияют на то, какие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу.

При развертывании AD DS задайте для режимов работы домена и леса самое высокое значение, которое может поддерживать среда. Так вы сможете использовать максимальное количество функций AD DS. При развертывании нового леса вам будет предложено задать функциональный уровень леса, а затем задать функциональный уровень домена. Для режима работы домена можно установить значение, превышающее значение режима работы леса. Однако для него нельзя задать значение, которое будет ниже значения режима работы леса.

В конце срока действия Windows Server 2003, 2008 и 2008 R2 эти контроллеры домена (DCs) необходимо обновить до Windows Server 2012, 2012 R2, 2016, 2019 или 2022. Как и в случае с любым сервером, контроллеры домена ,работающие в неподдерживаемой версии Windows Server, должны быть удалены из домена и заменены на поддерживаемую версию Windows Server. Дополнительные сведения см. в разделе о выпуске Windows Server.

В режимах работы домена Windows Server 2008 и более новых версий для репликации содержимого папки SYSVOL между контроллерами домена используется репликация службы распределенных файловых систем (DFS). Если вы создаете домен в режиме работы домена Windows Server 2008 или более новых версий, для репликации SYSVOL автоматически используется репликация DFS. Если вы создаете домен в более низком режиме работы, необходимо перейти от репликации FRS к DFS для SYSVOL. Для действий по миграции можно выполнить процедуры в TechNet или обратиться к блогу DFSR SYSVOL. Windows Server 2016 — последний выпуск Windows Server, включающий FRS.

Примечание.

С Windows Server 2016 не было добавлено новых уровней работы леса или домена. Более поздние версии операционной системы могут использоваться для контроллеров домена, однако они используют Windows Server 2016 в качестве последних функциональных уровней.

Функциональные уровни Windows Server 2016

Поддерживаемые операционные системы контроллера домена:

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Минимальное требование добавить контроллер домена одной из этих версий Windows Server — это функциональный уровень Windows Server 2008. В домене также должна использоваться репликация DFS в качестве подсистемы для репликации SYSVOL.

Функции режима работы леса Windows Server 2016

• Доступны все функции, доступные на уровне функциональных возможностей леса Windows Server 2012 R2 и следующие функции:
  • Privileged Access Management (PAM) с использованием Microsoft Identity Manager (MIM)

Функции режима работы домена Windows Server 2016

• Все функции Active Directory по умолчанию, все функции из домена Windows Server 2012 R2, а также следующие функции:

  • Контроллеры домена могут поддерживать автоматический откат протокола NTLM и другие секреты на основе пароля для учетной записи пользователя, настроенной для требования проверки подлинности с использованием PKI. Эта конфигурация также называется "Запрашивать смарт-карту для интерактивного входа в систему".

  • Контроллеры домена могут поддерживать проверку сети по протоколу NTLM, если пользователю разрешен доступ только с определенных устройств, присоединенных к домену.

  • После успешной проверки подлинности с помощью расширения PKInit Freshness клиенты Kerberos получат свежий идентификатор безопасности для удостоверения открытого ключа.

    Дополнительные сведения см. в статье "Новые возможности проверки подлинности Kerberos" и новые возможности защиты учетных данных

Функциональные уровни Windows Server 2012 R2

Поддерживаемые операционные системы контроллера домена:

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Функции функционального уровня леса Windows Server 2012 R2

• Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2012, но не дополнительные функции.

Функции функционального уровня домена Windows Server 2012 R2

• Все функции Active Directory по умолчанию, все функции из функционального уровня домена Windows Server 2012, а также следующие функции:
  • Защита со стороны контроллера домена для защищенных пользователей. Защищенные пользователи, проверяющие подлинность в домене Windows Server 2012 R2, больше не могут:
    • проходить проверку подлинности с помощью проверки подлинности NTLM;
    • использовать наборы шифров DES и RC4 в предварительной проверке подлинности Kerberos;
    • делегироваться в рамках неограниченного или ограниченного делегирования;
    • выполнять продление пользовательских билетов (TGT) и использовать их более 4 часов.
  • Политики проверки подлинности
    • Новые политики Active Directory на основе леса, которые можно применять к учетным записям в доменах Windows Server 2012 R2, чтобы контролировать, откуда размещена учетная запись, может выполнять вход и применять условия управления доступом для проверки подлинности к службам, работающим в качестве учетной записи.
  • Оси политики проверки подлинности
    • Новый объект Active Directory на основе леса, который может создать связь между пользователем, управляемой службой и компьютером, учетными записями, которые будут использоваться для классификации учетных записей для политик или изоляции проверки подлинности.

Функциональные уровни Windows Server 2012

Поддерживаемые операционные системы контроллера домена:

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012

Функции режима работы леса Windows Server 2012

• Этот режим работы предоставляет все функции, доступные в режиме работы леса Windows Server 2008 R2, но не дополнительные функции.

Функции режима работы домена Windows Server 2012

• Все функции Active Directory по умолчанию, все функции из функционального уровня домена Windows Server 2008 R2, а также следующие функции:
  • Поддержка KDC-утверждений, комплексной проверки подлинности и политика административных шаблонов KDC защиты Kerberos имеет два параметра ("Всегда предоставлять утверждения" и "Отклонять запросы проверки подлинности без защиты"), требующие режима работы домена Windows Server 2012. Дополнительную информацию см. в статье What's New in Kerberos Authentication (Новые возможности проверки подлинности Kerberos).

Функциональные уровни Windows Server 2008 R2

Поддерживаемые операционные системы контроллера домена:

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2

Функции функционального уровня леса Windows Server 2008 R2

• Все функции, доступные на уровне функциональных возможностей леса Windows Server 2003, а также следующие функции:
  • Корзина Active Directory, позволяющая восстанавливать удаленные объекты во время выполнения AD DS.

Функции функционального уровня домена Windows Server 2008 R2

• Все функции Active Directory по умолчанию, все функции из уровня функциональных возможностей домена Windows Server 2008, а также следующие функции:
  • Контроль механизма проверки подлинности, добавляющий в пакет сведения о способе входа в систему (смарт-карта или имя пользователя и пароль), который используется для проверки подлинности пользователей домена в маркере Kerberos каждого пользователя. Если эта функция включена в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями, например службы федерации Active Directory (AD FS), то данные маркера могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые были разработаны для определения авторизации на основе способа входа пользователя в систему.
  • Автоматическое управление именем субъекта-службы для служб, запущенных на определенном компьютере в контексте управляемой учетной записи службы при изменении имени или имени узла DNS-сервера учетной записи компьютера. Дополнительные сведения об управляемых учетных записях службы см. в статье Service Accounts Step-by-Step Guide (Пошаговое руководство по учетным записям служб).

Функциональные уровни Windows Server 2008

Поддерживаемые операционные системы контроллера домена:

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008

Функции режима работы леса Windows Server 2008

• Этот режим работы предоставляет все функции, доступные при режиме работы леса Windows Server 2003, но не имеет дополнительных функций.

Функции режима работы домена Windows Server 2008

• Все функции AD DS по умолчанию, все функции из функционального уровня домена Windows Server 2003 и следующие функции доступны:

  • Поддержка репликации распределенной файловой системы (DFS) для системного тома Windows Server 2003 (SYSVOL).

    • Поддержка репликации DFS обеспечивает более надежную и управляемую репликацию содержимого SYSVOL.

      Примечание.

      Начиная с Windows Server 2012 R2, служба репликации файлов (FRS) не рекомендуется к использованию. Для нового домена, созданного на контроллере домена под управлением Windows Server 2012 R2 (не ниже), должен быть установлен режим работы домена Windows Server 2008 или выше.

  • Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Для пространств имен на основе домена в режиме Windows Server 2008 также требуется, чтобы лес использовал режим работы леса Windows Server 2003. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен).

  • Поддержка алгоритма AES (AES 128 и AES 256) для протокола Kerberos. Чтобы TGT выдавался с помощью AES, режим работы домена должен быть Windows Server 2008 или выше, а пароль домена необходимо изменить.

    • Дополнительные сведения см. в статье Kerberos Enhancements (Дополнительные возможности Kerberos).

      Примечание.

      При повышении режима работы домена до Windows Server 2008 или выше на контроллере домена могут возникать ошибки проверки подлинности, если он уже выполнил репликацию изменения DFL, но еще не обновил пароль KRBTGT. В данном случае при перезапуске службы KDC на контроллере домена будет запущено обновление нового пароля KRBTGT в памяти и устранены связанные ошибки проверки подлинности.

  • В данных о последнем интерактивном входе в систему приведены следующие сведения:

    • Общее количество неудачных попыток входа на сервер Windows Server 2008, присоединенный к домену, или рабочую станцию Windows Vista.
    • Общее количество неудачных попыток входа после удачного входа на сервер Windows Server 2008 или рабочую станцию Windows Vista.
    • Время последней неудачной попытки входа на Windows Server 2008 или рабочую станцию Windows Vista.
    • Время последней удачной попытки входа на сервер Windows Server 2008 или рабочую станцию Windows Vista.

  • Детальные политики паролей позволяют задавать политики паролей и политики блокирования учетных записей для пользователей и глобальных групп безопасности в домене. Дополнительные сведения см. в статье AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Пошаговое руководство по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory).

  • Личные виртуальные рабочие столы

    • Чтобы использовать добавленные функции, предоставляемые на вкладке "Личный виртуальный рабочий стол" в диалоговом окне User Account Properties (Свойства учетной записи пользователя) в оснастке "Пользователи и компьютеры Active Directory", схема AD DS должна быть расширена для Windows Server 2008 R2 (версия объекта схемы = 47). Дополнительные сведения см. в статье Deploying Personal Virtual Desktops by Using RemoteApp and Desktop Connection Step-by-Step Guide (Пошаговое руководство по развертыванию личных виртуальных рабочих столов с помощью подключения к удаленным рабочим столам и приложениям RemoteApp).

Функциональные уровни Windows Server 2003

Поддерживаемые операционные системы контроллера домена:

• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003

Функции режима работы леса Windows Server 2003

• Доступны все функции AD DS по умолчанию и следующие функции:
  • Доверие леса
  • переименование домена.
  • Реплика связанного значения
    • Репликация связанного значения позволяет изменить членство в группах для хранения и репликации значений отдельных участников вместо репликации всего членства как отдельного элемента. Хранение и репликация значений отдельных участников использует меньше пропускной способности сети и уменьшает количество циклов процессора во время репликации, а также предотвращает потерю обновлений при одновременном добавлении или удалении нескольких участников на разных контроллерах домена.
  • Возможность развертывания контроллера домена только для чтения (RODC).
  • Улучшенные алгоритмы проверки согласованности знаний (KCC) и масштабируемость
    • Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, масштабируемые для поддержки лесов с увеличенным количеством сайтов, чем может поддерживать AD DS в режиме работы леса Windows 2000. Улучшенный алгоритм выборов ISTG является механизмом выбора ISTG с меньшим уровнем вмешательства в режиме работы леса Windows 2000.
  • Возможность создания экземпляров динамического вспомогательного класса, называемых dynamicObject, в разделе каталога домена.
  • Возможность преобразования экземпляра объекта inetOrgPerson в экземпляр объекта User, а также завершения преобразования в обратном направлении.
  • Возможность создавать экземпляры новых типов групп для поддержки авторизации на основе ролей.
    • Эти типы называются основными группами приложений и группами запросов протокола LDAP.
  • деактивация и переопределение атрибутов и классов схемы. Следующие атрибуты можно использовать повторно: ldapDisplayName, schemaIdGuid, OID и mapiID.
  • Пространства имен DFS на основе домена, работающие в режиме Windows Server 2008, включая поддержку перечисления на основе доступа и повышенную масштабируемость. Дополнительные сведения см. в статье Choose a Namespace Type (Выбор типа пространства имен).

Функции режима работы домена Windows Server 2003

• Все функции AD DS по умолчанию, все функции, доступные на уровне функциональных возможностей собственного домена Windows 2000, и доступны следующие функции:
  • Средство управления доменом Netdom.exe, позволяющее переименовывать контроллеры домена.
  • Обновления метки времени входа
    • Атрибут lastLogonTimestamp обновляется с учетом времени последнего входа пользователя или компьютера. (этот атрибут реплицируется внутри домена);
  • Возможность задания атрибута userPassword в качестве эффективного пароля для объекта inetOrgPerson и объектов пользователей.
  • Возможность перенаправления контейнеров пользователей и компьютеров
    • По умолчанию для компьютеров и учетных записей пользователей предоставляются два известных контейнера, а именно: cn=Computers,domain< root> и cn=Users,domain< root>. Данная функция позволяет определять для этих учетных записей новое известное местоположение.
  • Возможность диспетчера авторизации хранить свои политики авторизации в службе AD DS.
  • Ограниченное делегирование
    • Ограниченное делегирование позволяет приложениям воспользоваться преимуществами безопасного делегирования учетных данных пользователей с проверкой подлинности на основе Kerberos.
    • Делегирование можно включить только для конкретных служб назначения.
  • Выборочная проверка подлинности
    • Выборочная проверка подлинности позволяет указать пользователей и группы из доверенного леса, которые могут проходить проверку подлинности на серверах ресурсов в доверенном лесу.

Функциональные уровни Windows 2000

Поддерживаемые операционные системы контроллера домена:

• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003
• Windows 2000

Функции режима работы собственного леса Windows 2000

• Доступны все функции AD DS по умолчанию.

Функции режима работы собственного домена Windows 2000

• Доступны все функции AD DS по умолчанию и следующие функции каталога:
  • Универсальные группы для групп рассылки и для групп безопасности.
  • Вложение групп
  • Преобразование групп, которое позволяет выполнять преобразование между группами безопасности и рассылки.
  • Журнал идентификатора безопасности (SID).

Next Steps

• Raise the Domain Functional Level (Повышение режима работы домена)
• Raise the Forest Functional Level (Повышение режима работы леса)